{"id":659615,"date":"2026-05-11T08:50:00","date_gmt":"2026-05-11T11:50:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/11\/criminosos-usam-openclaw-falsificado-para-atacar-extensoes-de-navegador\/"},"modified":"2026-05-11T08:50:00","modified_gmt":"2026-05-11T11:50:00","slug":"criminosos-usam-openclaw-falsificado-para-atacar-extensoes-de-navegador","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/05\/11\/criminosos-usam-openclaw-falsificado-para-atacar-extensoes-de-navegador\/","title":{"rendered":"Criminosos usam OpenClaw falsificado para atacar extens\u00f5es de navegador"},"content":{"rendered":"<p>Cibercriminosos lan\u00e7aram uma campanha de infostealer que usa um instalador falso do OpenClaw para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extens\u00f5es de autentica\u00e7\u00e3o em navegadores. A a\u00e7\u00e3o est\u00e1 em curso desde fevereiro de 2026.<\/p>\n<p>O golpe envolve um arquivo denominado OpenClaw_x64.7z, disponibilizado em um site enganoso registrado em mar\u00e7o. Dentro h\u00e1 um execut\u00e1vel em Rust de cerca de 130 MB, inflado com documenta\u00e7\u00e3o falsa para dificultar a an\u00e1lise.<\/p>\n<p>Antes de executar suas fun\u00e7\u00f5es, o malware verifica se est\u00e1 em m\u00e1quina virtual ou em ambiente de an\u00e1lise. Procura sinais de sandbox, bibliotecas suspeitas e perfis de hardware incomuns, al\u00e9m de aguardar movimento do mouse para confirmar uso humano.<\/p>\n<p>Passadas as verifica\u00e7\u00f5es, o instalador falso desativa o Windows Defender, abre portas no firewall e baixa seis m\u00f3dulos adicionais. Cada componente realiza coleta de dados, persist\u00eancia, comunica\u00e7\u00e3o com servidores de comando e execu\u00e7\u00e3o de cargas em mem\u00f3ria.<\/p>\n<p>A fase de roubo mira uma lista remota com 250 extens\u00f5es de navegador, incluindo 201 carteiras cripto como MetaMask e Phantom, al\u00e9m de 49 gerenciadores de senhas e autenticadores como Bitwarden e LastPass.<\/p>\n<p>A lista de alvos fica hospedada em um reposit\u00f3rio controlado pelos invasores, permitindo atualizar servi\u00e7os visados sem alterar o malware.<\/p>\n<p>A campanha tamb\u00e9m tenta acessar dados do Ledger Live no sistema de arquivos, abrindo caminho para extrair informa\u00e7\u00f5es ligadas a criptoativos.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Campanha de infostealer usa um instalador falso do OpenClaw, ativo desde fevereiro de 2026, para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extens\u00f5es de autentica\u00e7\u00e3o do navegador.<\/li>\n<li>O ataque surge via site falso em mar\u00e7o, oferecendo OpenClaw_x64.7z; dentro h\u00e1 um execut\u00e1vel em Rust de ~130 MB, com documenta\u00e7\u00e3o falsa para dificultar an\u00e1lises.<\/li>\n<li>Antes de agir, o malware verifica se est\u00e1 em m\u00e1quina virtual ou ambiente de an\u00e1lise, espera movimento do mouse e, se aprovado, desativa o Windows Defender, abre portas no firewall e baixa seis m\u00f3dulos adicionais.<\/li>\n<li>Os componentes coletam informa\u00e7\u00f5es do sistema, mant\u00eam persist\u00eancia, comunicam com servidores de comando e executam cargas em mem\u00f3ria; a lista de alvos inclui 250 extens\u00f5es de navegador, entre 201 carteiras cripto e 49 gerenciadores de senhas\/authenticators.<\/li>\n<li>A lista de alvos fica em um reposit\u00f3rio controlado pelos invasores, que tamb\u00e9m tenta acessar dados do Ledger Live no sistema de arquivos para facilitar o roubo de ativos digitais.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":659618,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Golpe usa instalador falso de OpenClaw para roubar credenciais de carteiras de criptomoedas e gerenciadores de senhas, mirando cerca de quinhentas extens\u00f5es de navegador","footnotes":""},"categories":[296,1],"tags":[104,85,86,101,132,189],"class_list":["post-659615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-inovacao","tag-internet","tag-pessoas","tag-startups","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/659615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=659615"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/659615\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/659618"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=659615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=659615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=659615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}